DOR - transparencia.gob.sv

15
( ( ( EL. SALVJ\DOR Ref . UAI - 03/2018 COMISION EJECUTIVA PORTUARIA AUTONOMA UNIDAD DE AUDITORIA INTERNA INFORME SOBRE EXAMEN ESPECIAL A LA FUNCIONALIDAD DEL SISTEMA SADFI Y CUMPLIMIENTO DE POLÍTICAS Y PROCEDIMIENTOS DE TECNOLOGÍAS DE INFORMACIÓN EN EL PUERTO DE ACAJUTLA, PERIODO 01 DE FEBRERO DE 2017/ 31 DE ENERO 2018 Y SEGUIMIENTO A RECOMENDACJONES EN PROCESO, CONTENIDAS EN INFORME RElr. UAI-02/2017, DEL 04 DE ABRIL DE 2017. San Salvador, 27 de abril de 2018.

Transcript of DOR - transparencia.gob.sv

Page 1: DOR - transparencia.gob.sv

(

(

(

EL. SALVJ\DOR

Ref. UAI - 03/2018

COMISION EJECUTIVA PORTUARIA AUTONOMA UNIDAD DE AUDITORIA INTERNA

INFORME SOBRE

EXAMEN ESPECIAL A LA FUNCIONALIDAD DEL SISTEMA SADFI Y CUMPLIMIENTO DE POLÍTICAS Y PROCEDIMIENTOS DE TECNOLOGÍAS DE INFORMACIÓN EN EL PUERTO DE ACAJUTLA, PERIODO 01 DE FEBRERO DE 2017/ 31 DE ENERO 2018 Y

SEGUIMIENTO A RECOMENDACJONES EN PROCESO, CONTENIDAS EN INFORME RElr. UAI-02/2017, DEL 04 DE ABRIL DE 2017.

San Salvador, 27 de abril de 2018.

Page 2: DOR - transparencia.gob.sv

(

(

INDICE

Contenido Pagina No.

l. OBJETIVOS DE LA AUDITORÍA.

II.

111.

ALCANCE DE LA AUDITORÍA.

PRINCIPALES REALIZACIONES Y LOGROS.

2

2

IV. RESULTADOS DE LA AUDITORÍA DE EXAMEN ESPECIAL.

1. Funcionalidad del Sistema Administrativo Financiero (SADFI), mediante los Módulos en operación en el Puerto de Acaj utla. 3

2. Observaciones relacionadas con el cumplimiento de Políticas y Procedimientos de Tecnologías de Información.

2.1 Cuentas personales de usuarios y contraseñas del Directorio Principal de la Red (Active Directory), utilizadas de forma compartida como usuarios genéricos. 4

2.2 Política relacionada con el cambio de contraseña por parte de los usuarios, para el acceso a la Red Informática, no se cumple. 5

2.3 Instructi vo para el Respaldo de Datos sin actualizar. 6

V. RESULTADOS DEL ANALISIS DE LA EVALUACIÓN DE CONTROL INTERNO. 7

VI. ASUNTO MENOR. 7

VII. SE HACE CONSTAR. 8

VIII. SEGUIMIENTO A LAS RECOMENDACIONES DE AUDITORÍAS ANTERIORES. 8

IX. CONCLUSIÓN. 13

X. PÁRRAFO ACLARATORIO. 13

Page 3: DOR - transparencia.gob.sv

( REF. UAI 03/2018.

COMISIÓN EJECUTIVA PORTUARIA AUTÓNOMA UNIDAD DE AUDITORÍA INTERNA

lng. Nelson Edgardo Vanegas. Presidente de la Comisión Ejecutiva Portuaria Autónoma. Presente.

27 de abril de 201 8.

El presente informe contiene los resultados del "Examen Especial a la funcionalidad del Sistema SADFI y cumplimiento de políticas y procedimientos de tecnologías de información en el Puerto de Acajutla, en el periodo del O 1 de febrero de 20 17 al 31 de enero de 2018". La auditoría fue realizada en cumplimiento a la Orden de Trabajo No. O I del 06/02/2018 y a los A1ts. 30 y 3 1 de la Ley de la Cmte de Cuentas de la República y a las Normas de Auditoría Interna del Sector Gubernamental, emitidas por la Coite de Cuentas de la República.

l. OBJETIVOS DE LA AUDITORÍA:

Objetivo General

Emitir un informe que contenga los resultados del "Examen Especial a la fun cional idad del Sistema SADFI y cumplimiento de políticas y procedimientos de tecnologías de información en el Puerto de Acajutla, en el periodo del O 1 de febrero de 20 17 al 31 de enero de 20 18", con el propósito de determinar la racionalidad en cuanto a la operación del Sistema SADfl, así como verificar, el grado de cumplimiento de la nor111ati va dispuesta en el Manual de Políticas y Procedimientos de Tecnologías de Información, efectuando además, un Seguimiento a las Recomendaciones Contenidas en el informe Ref. UAl-02/2017, del 04/04/2017, emitido por esta Unidad .

. /.: ~fl'•l:l]~ ,. ~r:..,~"'-" ú~ Objetivos Específicos

,,J IA "S' ' 1<,1. ( • OR ~ . Determinar la funcionalidad del SADFI , mediante la verificación a la efectividad, de las principales funciones que deben -~l{/f ', RNA . ~ desarrollar cada uno de sus Módulos, para lograr el objetivo de integrar sus datos y proveer de infor111ación oportuna a

s~· <11!:,r ~~ la Administración. ~~

o 2. Comprobar si el recurso informático instalado, provee los resultados de manera efectiva y acorde a los procesos ~<IL. .. .-,..

establecidos y a las neces idades de información, a través de la verificación del grado de cumplimiento de la normativa dispuesta en el Manual de Políticas y Procedimientos de Tecnologías de Información, tomando en cuenta para esto lo siguiente:

a. Verificar el cumplimiento a las Normas Técnicas de Control Interno Específicas de CEPA, as í como de la normativa interna contenida en el Manual de Políticas y Procedimientos de Tecnologías de Información, en el Puerto de Acajutla, tales como:

i. Constatar si se han di vulgado las normativas en cuanto al uso del Equipo Informático y Ética del Software.

ii. Inspeccionar las condiciones de los Servidores de Datos y dispositivos de comunicación de la Red In formática, a fin de garantizar un óptimo desempeño y que los servicios de red se provean de forma ininterrumpida.

111. Verificar la existencia de una planificación y ejecución del Mantenimiento Preventivo a los Equipos 1 n fonnáticos.

iv. Examinar el registro de la navegación en e l Internet por paite de los usuarios, mediante el criterio de los sitios más visitados en el periodo del O l/ 12/201 7 al O l /02/2018, a fin de constatar el uso adecuado de este recurso.

v. Entre otras.

b. Comprobar el cumplimiento a las medidas preventivas de seguridad, contenidas en el Plan de Contingencias del Puerto de Acajutla, tales como:

1. Constatar si la Sección de In formática del Pue1to de Acajutla, está realizando periódicamente los respaldos o back up de la información.

11. Comprobar si se cuenta con el debido respaldo energético de emergencia, para garantizar la operación ininterrumpida de los Servidores de Datos y equipos conectados a la Red Informática.

Page 4: DOR - transparencia.gob.sv

(

111. Verificar la existencia de un Software Antivirns y de Prevención de Intrusos (IPS), debidamente actualizado;

1v. Cambio de contrasefia o clave de seguridad por parte de los usuarios de la Red Informática, para evitar accesos no autorizados en los recursos informáticos.

v. Entre otras.

3. Verificación de Seguimiento a las Recomendaciones contenidas en el informe Ref.UAI-02/2017, del 04 de abril de 2017, emitido por esta Unidad.

11. ALCANCE DE LA AUDITORÍA:

Realizamos Auditoría de examen especial sobre aspectos operacionales "Examen Especial a la funcionalidad del Sistema SADFI y cumplimiento ele políticas y procedimientos de tecnologías de información en el Puerto de Acajutla, en el periodo del O I ele febrero de 2017 al 31 de enero de 2018 y Seguimiento a las Recomendaciones Contenidas en el informe Ref. UAl-02/2017, del 04/04/2017", de conformidad con Normas de Auditoría Interna del Sector Gubernamental emitidas por la Corte de Cuentas de la República. Para tal efecto se aplicaron pruebas en las áreas identificadas como críticas, con base a procedimientos contenidos en el programa de auditoría y que responden a nuestros objetivos.

Con el propósito de cumplir con los objetivos planteados para el Examen Especial, se adoptó como estrategia el desarrollo de las actividades siguientes:

a) En relación a la verificación de la funcionalidad del SADFI, se entrevistaron a través de cuestionarios a los usuarios responsables de los Módulos en operación en el Puerto de Acajutla, así como a los Analistas Programadores que les brindan mantenimiento.

b) En lo concerniente al cumplimiento de poi íticas y procedimientos de tecnologías de información, se entrevistó mediante cuestionario al Jefe de la Sección de Informática del Puerto de Acajutla, así mismo se efectuaron actividades ele verificación sobre algunos aspectos tales como:

1. Se realizó una inspección física a todos los equipos de comunicación de la Red Informática del Puerto ele Acajutla, en relación a su funcionamiento, mantenimiento, protección y seguridad energética, es decir su UPS o batería de respaldo de energía y regulador de voltaje, con el fin de garantizar la operación ininterrumpida de los servicios ele red y de los Sistemas de Información.

2. Se efectuó una inspección a la sala de Servidores de Información, para verificar las medidas ele seguridad que permitan su funcionamiento de manera continua, así como a la realización periódica del Respaldo ó Backup de la información que se genera en el Puerto ele Acajutla y una verificación del cumplimiento a las medidas de seguridad preventiva, contenidas en el Plan ele Contingencias del Área de Informática.

3. Se solicitó el registro ele información sobre la navegación en Internet, respecto de los sitios más visitados en el periodo del O 1/ 12/2017 al O 1/02/2018, de los usuarios con acceso a este servicio, a fin de constatar el uso adecuado de este recurso.

4. Entre otras.

c) Se entrevistó a los responsables del cumplimiento a las recomendaciones en proceso contenidas en el informe de Auditoría Interna con Ref. UAl-02/2017 del 04/04/2017, a fin de conocer las acciones efectuadas para superar las condiciones y su respectiva documentación de soporte.

111. PRINCIPALES REALIZACIONES Y/O LOGROS:

Con el fin de mejorar la calidad de los servicios que presta la Sección de Informáti ca del Puerto de Acajutla y promover una mejora en cuanto a la gestión del recurso informático, se desarrollaron las actividades siguientes:

a) Se actualizó el Manual de Políticas y Procedimientos de Tecnologías de Información, el cual fue aprobado por la Gerencia General, el O 1 de septiembre de 2017.

b) Se actualizó el Plan de Contingencias del Área de Informáti ca, el cual fue aprobado por la Gerencia General, el 26 de abril de 2017.

2

Page 5: DOR - transparencia.gob.sv

(

(

IV. RESULTADOS DE LA AUDITORÍA DE EXAMEN ESPECIAL:

Como resultado de los procedimientos aplicados, determinamos las siguientes condiciones:

l. Funcionalidad del Sistema Administrativo Financiero (SADFI), mediante los Módulos en Operación en el Puerto de Acajutla.

Desde su implementación en el Puerto de Acajutla, el SADFI ha sido objeto de actualizaciones y mejoras, por tanto, para determinar su funcionalidad, tomando como parámetro los Módulos que facilitan la operatividad del Puerto, se realizaron dos entrevistas y se analizó documentación relacionada, obteniendo los siguientes resultados:

1. Se entrevistó a los Analistas Programadores, responsables de dar mantenimiento a los Módulos del SADFI, quienes coincidieron en que las principales funciones de los Módulos, ya están desarrolladas al 100%; de igual forma, se consultó sobre la efectividad de la relación existente entre estos módulos, con otros del SA DFI, para lograr su integración.

2. También se realizó una entrevista sobre el func ionamiento del SA DFI , a los usuarios responsables de cada Módulo, por ser quienes mejor conocen como están operando, además de los cambios y las mejoras que se les han implementado. A continuación se presenta el resultado obtenido, según las respuestas, tanto de los Analistas Programadores, como de los usuarios de los Módulos, así:

Módulo Funcionalidad según los

Funcionalidad según los Usuarios responsables de los Módulos. Analistas Pro~ ramadores

Presupuesto Ronald López. Funciona Roscndo Figucroa runciona al 100%, solo se han solicitado repoI1es al 100% (Contador) nuevos.

Contabil idad Edgar Chávcz. Funciona Roscndo Figueroa En proceso de revisión de todas sus funciones. al 100% (Contador) junto a la G.S. I.

Rosenclo Figueroa Se están revisando junto a la G.S. I. la generación

racturación runciona (Contador) Portuaria

Eclgar Chávez. al 100% Francisco Flores (Jefe

automática de partidas contab les. Además, se han

Facturación) sol icitado nuevos reportes.

Se están revisando junto a la G.S. I., las s iguientes funciones:

Edwin Funciona Rosendo rigueroa - Colccturía de pagos a través de remesas.

Tesorería Turcios. al 100% (Contador) - Generación automática de partidas contable.

- Alimentación automática de cuentas por cobrar.

Además, se han solicitado nuevos repoI1es. Enna Dinora de

Funciona Mcndoza (Jefa de El área contable está revisando junto a la G.S. I. ,

Planillas Ronalcl López. al 100%

Sección ele la generación automática de partidas contables de Remuneraciones y cierre de plan i !las. Control ele Personal).

Yasmín Funciona Martín Alejandro El área contable está revisando junto a la G.S. I. ,

/\etivos Fijos Sarmiento. al 100%

Batrcs (Jefe Unidad la generación automática de partidas contables de Acti vo Fijo). depreciación y/o movimiento ele bienes.

/\lmacén e Paulina Funciona Sonia Ruth Martínez El área contable está revisando junto a la G.S. I.,

Inventarios Montano. al 100% (Jefa /\lmacén de la generación automática de partidas contables de Materiales). entrada y salida de almacén.

Conciliación Paulina runciona Rosendo rigueroa Solo se utiliza la parte de fondo circl!lante que Bancaria Montano. al 100% (Contador) está en revisión junto a la G.S. I.

Como resultado del proceso realizado, mediante las entrevistas y el análisis a la documentación generada en las reuniones sostenidas entre usuarios y Analistas Programadores, respecto a cada Módulo SADFI, se determina que:

Efectivamente los Módulos están funcionando al 100% facil itando la operatividad del Puerto; sin embargo, aún fa lta por corroborar, la exactitud de la información generada automáticamente de las partidas contables, en los Módulos de Facturación Portuaria, Tesorería, Planillas, Activos Fijos y Almacén e Inventarios; además, en el Módulo de Tesorería, está en revisión la colecturía de pagos, que se realiza a través de remesas y la alimentación automática de información hacia el Módulo de Cuentas por Cobrar; en el Módulo de Contabilidad, están en revisión todas sus funci onalidades.

Ante ésta situación, los usuarios responsables de los Módulos y la Gerencia de Sistemas de Información, ya están trabajando respecto a validar la exactitud de la información contable, med iante un proyecto denominado "Revisión de Interfaces Contables de SADFI", planificado hasta diciembre de 20 18, lo cual, pudo ser constatado al revisar la documentación obtenida, que se generó de los Módulos revisados hasta la fecha del Examen Especial, siendo estos: Facturación, Tesorería, Cuentas por Cobrar, IVA Ventas, Planillas y Presupuestos, proceso que además, corresponde a la fase de mantenimiento del sistema.

3

Page 6: DOR - transparencia.gob.sv

(

2. Observaciones relacionadas con el cumplimiento de Políticas y Procedimientos de Tecnologías de Información.

2.1 Cuentas personales de usuarios y contraseñas del Directorio Principal de la Red (Active Directory), utilizadas de forma compartida como usuarios genéricos.

Al utilizar los sistemas mecanizados, se deben registrar las acciones efectuadas en ellos por cada usuario, por lo cual, es necesario crear en el Directorio Principal (Active Directory), perfiles personal es para cada usuario con su nombre y apellido o también, perfiles de usuarios genéricos que identifiquen a un grupo de usuarios, un ejemplo de usuario genérico puede ser Jefe de Muelles ó Supervisor de Buques, sin embargo, en la definición de usuarios de la Red Informática del Puerto de Acajutla, se observaron algunas cuentas de usuarios personales, utilizadas de forma compartida con otros usuarios, corno si fueran usuarios genéricos, según el detalle s iguiente:

Nombre de Usuario Centro de Costo Usuario de dominio Tipo de usuario

José Rosendo Navarro A. Patio de Vehículos Josc.santamaria Avanzado/Compartido

Gerardo Benito Lemus Taller Faja Gerardo. lemus /\ vanzado/Compartido

Jose Emilio Serrano Graneles Emilio.serrano /\ vanzado/Compartido

/\na Elena Serrano Jefatura de Operaciones Elena.hernandez Avanzado/Compartido

El Manual de Políticas y Procedimientos de Tecnologías de Información, en su artículo N.4, establece: "En lo posible, se evitará crear 'usuarios genéricos' (que no coincidan con el nombre y apellido de una persona) en el Active Directory, para evitar caer en ambigiiedad sobre la persona que haya efectuado alguna actividad dentro de los componentes de la plataforma tecnológica de CEPA. Si resulta necesario crear algún usuario de este tipo, deberá justificar e informarse a la Gerencia de Sistemas de Información".

La causa de que existan cuentas de usuario personales, utilizadas como usuarios genéricos, según el Jefe de la Sección de Informática, se debe a que estas, fueron creadas antes de que existiera la normativa relacionada y se pusiera en práctica, y que además, estos casos se han presentado, debido a usuarios operativos que laboran por turnos en una misma computadora.

Utilizar cuentas personales de usuario como genéricas, podría poner en riesgo la autenticidad de la información, creando además, ambigüedad sobre quién efectuó una determinada acción al registrar o cambiar datos en los Sistemas de Información y dificultar la identificación oportuna, de la responsabilidad de las acciones efectuadas por cada usuario.

Recomendación No.1

Se recomienda al Jefe de la Sección de Informática del Puerto de Acajutla, crear en el Active Directory el tipo de cuenta de usuario que corresponda, ante los casos donde las unidades, compartan una misma computadora con más de un usuario para el desarrollo de sus actividades, según lo establecido en el Manual de Políticas y

Procedimientos de Tecnologías de Información.

Comentario de la Administración.

El Jefe de la Sección de Informática del Puerto de Acajutla expresó, que la condición se debe a personal operativo que labora por turnos en una misma computadora y que los perfiles de usuarios fueron creados antes de que existiera la normativa que ha sido observada y agregó que se procederá a analizar cada caso y en base al resultado del análisis, se procederá según lo establecido en el Manual de Políticas y Procedimientos, lo antes posible.

Comentario del Auditor.

En los casos observados, se utiliza el nombre y apellido del usuario, por lo cual, no son cuentas de usuarios "genéricos", pero al compaitir la computadora con la misma cuenta y contraseña, entran a la red como si fueran usuario genérico, creando ambigüedad sobre las acciones realizadas, incluyendo el uso de los Sistemas de Información y no obstante, que tales cuentas de usuario, se crearon antes de existir la política, es necesario efectuar la corrección pertinente.

Grado de Cumplimiento.

Tomando en cuenta el compromiso adoptado por el Jefe de la Sección de Informática del Puerto de Acajutla, la Recomendación No. 1, queda en proceso de cumplimiento.

4

Page 7: DOR - transparencia.gob.sv

2.2

(

(

(

Política relacionada con el cambio de contraseña por parte de los usuarios, para el acceso a la Red Informática, no se cumple.

Los usuarios de la Red Informática, deben realizar un cambio de contraseña cada cierto tiempo y según la normativa asociada, esto debe aplicarse ele forma automática a través del sistema operativo ele la computadora de cada usuario, sin embargo, la Sección de Informática lo está realizando de forma manual por cada usuario, lo cual se evidenció en varias constancias que dejaron de ésta acción, mediante un formulario denominado "Inspección Técnica", en los cuales se observó incluso, que algunos usuarios no aceptan el cambio de contraseña por compaitir su equipo con otros usuarios, por lo cual, se constató que no se está aplic·ando la política relacionada, un ejemplo es el siguiente:

COMISIÓN eECUTIVA PORTUARIA AUTÓNOMA

GERENCIA PUERTO DE ACAJUTLA

INSPECCION TECNICA

:f.;;,.,/,,, /f4,1,_/,pn4'rt') _

0 ·,,!ty,3~,-,&,~o/ ./a~./3!° -­_!ji/ du, .St:7 ,!__,L'/dtme•y_ ,,._.fo<7-.....-: ;,<',/

EL0

SALVADOR U U AMO N O S PI\OA cnncen

?f- 1'1- ;;¿¿1/6

jftp /?' t}_4::l:::f( o -(__ -

c(i_~ .... (;/e_~ ·~--&,?_/ d" ;¿',/ & Á0

CEPA

Verificación de Hardware Funcionamiento de Team_ Vl_ew_ er _ ______ _

Dirección fP de R_e=-d=-------------:--1--v'"-I Valldaclón y Cuarentena de Antivirus DNS(10.1.4.103)y D_!'IS Alternativo (10.1.4.183) ~ Cambio de Clave de Usuario d e dominio

Software Instalado

1(/o _c-4- eaJ··nh,tf /a a~'l..ve

v,L:/,c=,/,, /"º'~ ~,., e.r1k:.f

- ~ Verificación de Firma de correo e lectrónico _

Revisión de UPS (lnvc,,tario) ·1''1'0t'.9t> ll-;,3 ·~? ~ -

El Manual de Políticas y Procedimientos de Tecnologías de información, en el Art. J.2, expresa: "La contraseña o password deberá ser cambiada por el usuario por lo menos cada seis meses, utilizando el mecanismo del sistema operativo del equipo informático que utilice".

La causa se debe a que la Sección de Informática, no ha configurado la opción para que el sistema operativo en las computadoras de cada usuario, solicite automáticamente realizar el cambio de clave o contraseña, ya que realiza los cambios de contraseña por cada usuario, con el objeto de dejar constancia ele lo realizado.

El uso permanente ele la misma contrasefla por pmte ele los usuarios, puede poner en riesgo el conocimiento de la misma y provocar una autorización indebida de acceso a los registros ele información de los Sistemas y por ende, ambigüedad sobre la autenticidad de la información que se registra en las huellas de auditoría.

Recomendación No. 2

Se recomienda al Jefe de la Sección de Informática del Puerto de Acajutla, aplicar la normativa establecida en el Manual de Políticas y Procedimientos de Tecnologías de Información, respecto al cambio ele clave o contraseña por parte de los usuarios.

Comentario del Jefe de la Sección de Informática.

El Jefe de la Sección de lnfonnática, respecto a la condición observada expresó que: "Sí, se ha realizado de forma parcial los cambios de contraseña, con excepción de los casos, donde los usuarios no aceptaron el cambio debido a que comparte una misma computadora". En cuanto a la Recomendación No.2 manifestó, que: "se realizará el cambio necesario para dar cumplimiento a la normativa, al más corto plazo".

5

Page 8: DOR - transparencia.gob.sv

(

2.3

(

Grado de Cumplimiento.

En base a lo manifestado por el Jefe de la Sección de Informática del Puerto de Acaj utla, en relación a la Recomendación No. 2 , esta queda en proceso para la activación automática del cambio de contraseña, para lo cual se realizará una verificación de cumplimiento.

Instructivo para el Respaldo de Datos sin actualizar.

El instructivo para la realización de los respaldos de datos, que presentó la Sección de Informática del Pue1to de Acajutla, contiene las instrucciones para realizar el Backup o Respaldo de tocia la información que se genera; sin embargo, se observó que no ha sido actualizado, ya que las instrucciones que contiene, corresponden a la disposición de almacenamiento de datos anterior a la vi.rtualización ele los Servidores ele Datos y también al Dispositivo ele Tape Backup que se utilizaba anteriormente, según las imágenes siguientes:

Dispositivo Anterior de cintas de respaldo o Backup (año 2014), HP StorageWorks Ultrium 232. ,..,.,.~-~o: e~-=' ·

~ .... IIN STJU; c n•,oDCllLSP.u..J)OC,,e,:,.uos .....,...,_ ,,_._._.._

..,..~~;.r.-:.... ~ ~.J'...:-...n r.S1~"5" DC C<T01lMAC1Ó N :::¡,:: I O

U~1,atr 1t1 11nrrsr~u.a.,~e~•~a.a."'-.MJ.li!IL"EJ:1-l<M~11t.t,U$/!!J..:~v....u...t..ll', 11r .o n u O ff•' • •t1.U.U~t.ic.a•..!to.Jt.:ir ~..ilil!l..'lti.lUUI~

l).ou,, .. , . .... ..e.- -,lt,t,0, hor..l..l - l\;i,,, .. , lao...,, ••• X.14, IU. ll~~I- ,..,.. .............. ... _ ...,._ •• ,~ .. , ...... ...... ,.~u._,,$.~#-0 .. .......... ,P-....-. l•f;Ht, • U .... , .... , ñ .,,,_ __ ~ '"-•"'-d°,._,¡,.I ,#- .-J~-'"'-" -"' 1,,. J lf>*' ,if.4'1~.-,P ..

.,,· ... -~",J.-,..,-.,,_,,,_, ,V(. .. ,..~,,...4,,,1,....,., ,.,. ....... , .,HJ,..-.it- ~ .......

.. v .. J •• ,,..,., -w ,,.,-.,=--r>•á''l'<n-xh""' , ...... . ,. ... , .• 1•.,, ...... -1. f .... ., •• • , . ................. ~ , •• ,. ... ,. .... - ... , · <-, ·"" ~ .... .. ""-'"'""+- ".O· ,<J<>(l>"•"•·•-1_.... ... , ..... ,-~--

......... ,_..., ~ ......... ..... ,,,. ..... ,. ............. . -.,.... ... ,w., ., •• -~.,.. .. ~ , .... ..

...... ~,...i,.~~·~·<e•••i•·•'"'•' ,., ...... ,, ... ,-t., ......... a..-........... ~,,.,.,..,al .>l ><'""'•,t, ... ,,,.,,,,,~1 .o<"""' J" '"•l•.·u\l-H. ~. n. .,. ...... .¡t ~. - · ~ . , ...... . ,.,-d ....... ~ . .. - . ........ .,, ... _ ..... . ......... -~ • .;., ... ,.., ,;,e, ..... ,...,._..,,.,, ... ....... .,.~ ............................ ~:.0 -, , ... ....... ........ 1••,lol,~ o,W>"-1. .. 1 , .... 1<,' "'"'-"'";J. ~ . ...,, u.- .r r,, .• -.r.-.. ,.i.on....-..-,.,.,.., .... _. ..... ,,.. .. .,..,. .... ..._ ,.,..._,,,,.h l••••• 11 <..c ... ,....._,h.,., ..,.... ,. ,.., .... ... ~ .. ,..,.,.,.. :':" .... ,~,..,u"" °"''""'""'"' ,,.. , S..L 'U"'>f O.,._.~,,_,,,.....,. , , ,,, ¡..,<tll •ah!"'"''-.,

Dispositivo Actual de cintas de respaldo o Backup (año 2018), Power Vault TL2000

O-..,.-i,0 J , p.,,lol:0-,•• v uJ(Ko•"Of"" l..l!ll,,l.\<M ,t_-.,,_, • • ~llQ.1u J1>.,t....,.. u;'f . .v, n• l'r«• ••°"•,unt.t~IOt.,.;•• •.,,.11'1Lw14<'1 0U. W ~ -H•~

, .. ,:;"""'' .... ,,,_,u ..... ,,,, .• _ . :e, ;/1..-~--.,., o.'-{-,, ... ~ ... ... , , ... ,.,.. ~,. __ ..,. ,, ~._,,.._..;,,,1,,,;-· ...... .._.-t._ ... ¡.,....._, ..,~ --" ...... _, 1~-,- .... ··~-... ~ .......... -Ñ'I -,-,SJ

,, ,-...,t,r.--.,.,d;,,,-.,¡, ., ... ~,:,, ... ~·--··.,....,....,,,"',J,,o ,,.,.,.0,,_, ,, ,1u,..~•J, t-c_.,.-o,,.,.,.,_-, .. ,..111 .. ,--._.. ,1,,.klo.,. ... ,...,~~··>•• , ,,o.)<·(, ..... ----.. ..... .,.0 ..... -... , .. - ... .it<lol'-""t" .......

,,. o,v,. ~ ~ 1••0-• , ~ ,..- '-''*4"" et .,.,.._.,, '"'"" •• r;.-..,,,._., ,""f'" " .._, •• "'"'" l',.,l:I •~••W • • ff<'1• tt•-< ..-.-•~; 1'1oH, ;,c.•• ·.-J••'"' "'--"u ,,-,,,·•• .t r. .. ...-,,t:, . .,.,,. ,i,,1, c-- ,,~c,1..-, .,,_..,.~..,. . ..,.~.,,,, 1a.r" \ ""' q,.r ....,...,tt. ,,..i-1,•o. •• "'-'""~,.,...,. .,.--.­..,. .. - 111,, , >."-'\!0 14 ,,.,~_._,..,.._.,*-l> , .,.40_ ,lll,,....,J._ ,;,.. ,. . ...,...,._,u,,.,,,_,,.,,,., :,.,., , . .,.._ _ _..,,.,..-.,..,_w.,'(,í>.i<,of.<l• ,,.f <i +•-. n .. . •u•·,•, ..,,,,.,.,._.,......, ""' ... ~•··­r..-,.&, ,.._. ,.,,..-.-.-.,.11:hl~o, ... ~,J,~., .• ,,.., N .. ,,.~,,,.,,, ... 1..-J, I, •_...,~, -..:· .:: ... _

Las Normas Técnicas de Control Interno Específicas ele CEPA, en el Art. 204, establecen: "La Gerencia de Sistemas de Información y las Unidades de Informática de las empresas, deberán realizar periódicamente, respaldo de los datos de los sistemas informáticos en el servidor, de acuerdo al Manual de Procedimientos de Tecnologías de Información" y el Manual de Políticas y Procedimientos ele Tecnologías ele Información, Art. F.3, establece "Es responsabilidad de la Gerencia de Sistemas de Información y/o Sección de Informática de las Empresas, realizar los respaldos de los datos que residen en los servidores de datos institucionales de acuerdo al 'Instructivo de Respaldo de Datos'".

La causa por la cual, aún no se ha efectuado la actualización del Instructivo de Respaldo de elatos, según el Jefe ele la Sección de Informática del Puerto ele Acajutla, se debe a que el documento a(m está pendiente de una revisión final junto al Gerente ele Sistemas de Información, para pasarlo a finna de la Gerencia General.

La normativa indica, que los procedimientos se realicen ele acuerdo al lnslrnctivo, por lo que la falta de actualización, podría hacer incurrir en incumplimiento a lo normado; por otra pmte, un Instructivo clcsactualizaclo podría causar confusión en los casos en que por alguna razón el proceso debe ser realizado por otra persona que no es la habitual.

6

Page 9: DOR - transparencia.gob.sv

(

Recomendación No. 3

Se recomienda al Jefe de la Secc ión de Informática del Puerto de Acajutla, efectuar la actualización del lnstrnctivo de Respaldo de Datos.

Comentario.

El Jefe de la Sección de Informática del Puerto de Acajutla, manifestó en cuanto a la condición, que: "la actualización del Instructivo de Respaldo de Dalos, se realiza en conjunto con la Gerencia de Sistemas de Información, con quien aún están pendientes de la revisión .final para pasarlo a autorización de la Gerencia General". Por lo que "enviará esta semana, una solicitud a la Gerencia de Sistemas de in.formación, a efectos de recordar lo pendiente sobre actualizar el Instructivo de Respaldo de Datos y gestionar su autorización por parte de la Gerencia General".

Grado de Cumplimiento.

Considerando el compromiso adoptado por el Jefe de la Sección de Informática del Puerto de Acajutla, para efectuar las acciones necesarias para dar cumplimiento a la Recomendación No. 3, esta queda en proceso de cumplimiento.

V. RESULTADO DEL ANÁLISIS DE LA EVALUACIÓN DEL CONTROL INTERNO:

A fin de evaluar el Control Interno en el Puerto ele Acajulla, respecto al área de Tecnologías ele Información, se elaboraron tres cuestionarios, los dos primeros tenían por objetivo, conocer la funcionalidad del Sistema Administrativo Financiero (SADFI), siendo el primero dirigido a los usuarios ele los Módulos y el segundo a los Analistas Programadores que Je brindan mantenimiento al SADFI, el tercero pretendía, conocer el cumplimiento por parte de la Sección de Informática del Puerto de Acajutla, sobre las normas, políticas, procedimientos y regulaciones aplicables a la gestión y control de la administración de la infraestructura informática y sistemas de información; obteniéndose el resu ltado sigu iente:

~f ·1~ 1 primer cuestionario, estaba dirigido a los usuarios de los Módulos del SADF I, constaba de preguntas relacionadas con las /{ ) R <\13,rincipales funciones de cada uno de los sigu ientes Módulos: Presupuesto, Tesorería, Facturación Portuaria, Contabilidad, ,,;:,... .n· :l i t tpnciliación Bancaria, Planillas, Almacén e Inventario y Activo Fijo, éstos en su mayoría respondieron de manera 0 ,~ isfactoria, que los Módulos están trabajando bien, excepto a la pregunta sobre la funcionalidad, relacionada con la ~ ó Sf.n S3k<.:i~or :\" eneración automática de partidas contables, razón por la cual, aún no se utiliza a plenitud el Módulo de Contabilidad, para

(

o cual, están realizando un proyecto junto a la Gerencia de Sistemas de Información, para corroborar la exactitud de los d tos, por lo que tal condición se incluyó en la ejecución del informe.

En cuanto al segundo cuestionario, que constaba de 4 preguntas y que estaba dirigido a los Analistas Programadores, éstos en su mayoría respondieron de manera satisfactoria, afirmando que todas las funcionalidades de los Módulos SADFI ya están trabajando al l 00% y que lo relacionado, a los datos de partidas contables y Módulo de Contabilidad se está trabajando junto al Puerto de Acajutla, mediante un proyecto que culmina en diciembre de 20 18, por lo que tal situación se incluyó en la ejecución del informe.

Con relación al tercer cuestionario, que constaba de 15 preguntas, dirigido a la Jefatura de la Sección de Informática, relacionado con el cumplimiento de las políticas, procedimientos sobre la gestión y control de la administración de la infraestructura informática y sistemas de información, las respuestas obtenidas fueron satisfactorias; de acuerdo a la documentación analizada, el cumplimiento es razonable.

VI. ASUNTO MENOR:

1. Déficit en la cantidad de Licencias del Software instalado.

Al revisar el control de Inventario de Licencias de Software, se observó que el número de licencias instaladas de algunas aplicaciones, es mayor que el número de licencias que fueron adquiridas, por Jo cual, es necesario realizar la gestión de adquisición pertinente a fin de mantener la legalidad en cuanto al uso del software, siendo estas aplicaciones y déficit de licencias, las siguientes: Microsoft Office ( 18), Microsoft Visio ( I ), Microsoft Windows Server 2012 (3).

La Sección de Informática del Pue1io de Acajutla, presentó su Plan de Compra Anual presupuestado para el año 2018, en el cual se observa que han incluido las aplicaciones antes mencionadas, dando inicio así a la gestión de adquisición para superar este déficit, con excepción de las licencias de Windows Server, siendo conveniente considerarlas dentro del proceso de adquisición.

7

Page 10: DOR - transparencia.gob.sv

VII.

(

SE HACE CONSTAR:

Durante el desarrollo del examen especial se observó lo siguiente:

1. Acceso en algunos sitios Web, que por norma deben estar bloqueados en el Internet del Puerto de Acajutla.

Se realizó una verificación a la navegación de los usuarios en el internet del Puerto de Acaj utla, observándose que en términos general es, el uso de este recurso es satisfactorio, excepto por algunos casos ai slados, en los que dos usuarios accesaron a sitios que deberían estar bloqueados, mediante las Políticas de Navegación en el firewal l, por ejemplo: deportes o música, por lo que, la Sección de ln fo rmálica, al ser in fo rmada, e fectuó de inmediato el bloqueo correspondiente a cada sitio, lo cual, pudo ser constatado.

2. Respaldo de Sitio Web, Consultas Web y Correo Electrónico, lo realiza Oficina Central , sin dejar copia en el Puerto de Acajutla.

Ante la verificación al cumplimiento de las medidas preventi vas de seguridad, contenidas en el Plan de Contingencias, se in tentó verificar el respaldo del Sitio Web, Consultas Web y Correo Electrónico en el Puerto de Acajutla, lo cual no fu e posible, ya que se nos info rmó que esto se encuentra en Oficina Central , bajo la responsabilidad de la Gerencia de Sistemas de Información, y no obstante, que se verificó que el respaldo de la info rmación se está realizando de manera periódica, sería conveniente, para reforzar la medida de seguridad ante una contingencia, que se proporcione al menos una copia mensual, de los respaldos efectuados, al Puerto de Acajutla.

~~t ) .~~n....~ ~EGUIMIENTO A LAS RECOMENDACIONES DE AUDITORÍAS ANTERIORES:

~ 1 ~RN; r~ onforme al Art. 48 de la Ley de la Corte de Cuentas de la Repúbl ica, se realizó una verificación al cumplimiento de las \~ ,._:; ; ,,~01 2:,l,·1

comendaciones en proceso, contenidas en el "Examen Especial sobre el cum plimiento a las po líticas y nomas re lacionadas ~ ,·t ¡\;on las tecnologías de in formación en el Puerto de Acajutla, al J I de enero de 201 7 y Seguim iento a las recomendaciones

' ,.,. ~ . . .• / contenidas en el Informe Ref. LJAI -08íl6, del 27 de abri l del 20 16.", con Ref. UAI-02/20 17 del 04 de abril de 20 17, que

(.

contiene tres recomendaciones en proceso obteniéndose el resultado sigu iente:

Resultado de Resul tado de Resultado de la Resultado de Resultado de A verifícar lnfonnes objeto de Verificación la veri ficación la verificación verificación al la veri fícación la veri fícación en próximo

al 15/05/ 14 al 28/02/ 15 29/0 1/20 16 al 31/0 1/20 17 al 31/0 1/20 18 examen

1-Conlinúa 1-Continúa 1-Parcial mente l~ontinúa en l~onlinúa Proceso de en Proceso de 1

UAI- en Proceso. en Proceso. Cumpl ida Cumplimiento Cumpl imiento 04/ 13

UA I-12-Cumplidas l-Cumplida

19/14 UAI- ] -Parcialmente UAI-

UAI- 01 2/15 05/13 Cumpl ida 02/17 lJA I-

08/ 16 !-Cum plida

1-Parcial mcntc

2-En Proceso 2-Continúan en Cumplida. 1 - Cumplida Proceso.

! - Cumpl ida.

1 - Cumpl ida.

2-En Proceso 1-l'arcial mente 1 - Cumplida

Cumplida.

Total 5 3 1

Durante el segunniento realizado, se hicieron las pruebas y procedimientos necesarios, de acuerdo a las ci rcunstancias. A continuación se presenta un detalle del seguimiento efectuado:

8

Page 11: DOR - transparencia.gob.sv

(

(

Seguimiento al Informe Ref. UAI-012/15 del 29/01/2016.

OBSERVACIONES Y RECOM ENDACIONES

UAI-012/15: No. 1

RECOM ENDACIÓN EMITIDA EN INFORME UAl-18/09 DEL 19/08/2009. REFERENCIA DE SEGUMIENTO EN PRESENTE INFORM E DESDE UAl -04/ 13 Y PARC IALM ENTE CUMPLIDA DESDE EL REF. UAl-012/15 DEL 29/01 /2015.

V.2.1 Módulos del SADFI, aún no operan completamente y por lo tanto No Integrados.

En la verificación realizada a los Sistemas de Información en Operación, los usuarios expresaron la necesidad de corregir los errores y deficiencias de los Módulos del Sistema SADFI que no permiten su operación completa.

Recomendación No. 1

Se recomienda a la Gerencia de Sistemas de Información, tomar las medidas urgentes para el correcto funcionamiento

los diferentes Módulos del Sistema fil-\'DFI, recolectando los requerimientos p¡ r'Cada Módulo instalado en el Puerto de ".it)utla y solventarlos creando para éste

ij un Calendario de Actividades en . n ún acuerdo con las Unidades

nvolucradas, según la prioridad de los requerimientos y su nivel de impacto ante los cambios, a fin de lograr la in tegración del Sistema, mantener actual izado con los avances el calendario de actividades e informar oportunamente a la Gerencia del Puerto, al Jefe de la Sección de Informática y a los involucrados en los requerimientos, en todo lo relativo a su avance y conclusión.

GRADO DE CUMPLIMI ENTO SI EL ÚLTIMO SEGUIMIENTO EFECTUADO

AL 31101/201 7.

La verificación efectuada para determinar el cumpl imiento a la Recomendación No. 1, presentó el resultado siguiente:

Recomendación No.1: Continúa en Proceso de Cumplimiento: Aún está pendiente la conciliación de saldos entre la información del Módulo de Almacén e Inventario con el Módulo de Contabilidad.

Al respecto el Ing. René Ventura manifestó: "Se presenlan lisiados de las dijeren/es reuniones que se efec/uaron en Acqjulla. para impulsar la revisión de la inlegración de los di/eren/es módulos de SADFI, incluyendo algunas reuniones de capaci/ación ".

El lng. Ventura, en el seguimiento anterior manifestó que se fo rmularía un calendario para dar seguimiento a la revisión, ahora manifestó: "Sobre el calendario, le comento que para Gerencia de Sislemas el proceso de revisión es parle de nuestra fase de mantenimienlo, moniloreo y seguimiento de sistemas, por lo que las reunionesflsicas las efec/11amos dependiendo de la disponibilidad de horarios de ambas parles, aunque se manliene la comunicación fluida a lravés de correos eleclrónicos".

Por su parte, el Lic. Rosendo f- igueroa se pronunció de la forma siguiente:

" Hemos tenido inconvenienles, pero estamos revisando los módulos e identificando los inconvenientes q11e lenemos para posleriormente reunirme con el lng. Ventura y establecer 1111 programa de /rabajo el c11al le será presen!ado. Cabe mencionar, como le comente cuando nos visiló que se ha estado lrabajando en algunos módulos 11110 de ellos es el del Fondo Circulan/e el cual esperamos entrar oflcialmenle en el mes de abril, este va permilir que el presupueslo sea ejec111ado en s11 lolalidad en S!IDFf'.

COMENTARIO DEL AUDITOR

La recomendación viene del informe UAl-18/09 del 19/0812009 y la última verificación se efectuó el 29/0 1120 16, a casi ochos afios de darle seguimiento, al 31 de enero de 2017, aún se está recabando información, acerca de los aspectos pendien tes para alcanzar la integración del Módulo de Contabil idad con los demás módulos del Sistema SADr:J y luego del compromiso adoptado en el seguimiento de enero 2016, todavía no se tiene una

G RADO DE CUMPLIMIENTO AL 3110112018.

El resultado de la verificación de cumplimiento efectuada, revela el resultado siguiente:

Recomendación No. 1: Continúa en Proceso de Cumplimiento. Se encuentra en desarrollo, un proyecto para revisar en todos los Módulos del SADFI, las interfaces contables.

El Lic. Rosendo Figueroa, Contador del Puerto de Acajutla, presentó un calendario de actividades denominado: " Plan de Trabajo de Revis ión de Interfaces Contables de SADFI", cuya programación abarca del 07/06120 17 al 05/ 12/20 18 y ya se encuentra en desarrollo, en donde se están revisando junto a la Gerencia de Sistemas ele Información, las interfaces que generan automáticamente las partidas contables en tocios los Módulos del SADFI ; y además, presentó la documentación que se ha generado durante el proceso de revisión, que a la focha del Examen Especial, han siclo los Módulos de Facturación, Tesorería, Cuentas por Cobrar, IV/\ Ventas, Planillas y Presupuestos.

COMENTARIO DEL AUDITOR

Se tuvo a la vista el plan de trab~jo que presentó el Lic. Rosendo Figucroa, denominado: "Plan ele Trab~jo ele Revisión ele Interfaces Contables de SADFI", también la documentación relacionada con los Módulos que ya fueron revisados junto a la Gerencia de Sistemas ele Información, en los cuales se pudo constatar que hay algunas observaciones y solic itudes de nuevos reportes. Por otra parle, se entrevistó a los usuarios responsables ele los Módulos del S/\DFI operando en el Puerto de Acajutla y a los /\na l istas Programadores, pudiéndose observar que se están realizando esfuerzos por lograr lo planificando, por tanto, se espera que para la próxima verificación, la Recomendación No. l, haya sido superada, quedando aún en Proceso de Cumplimiento.

9

Page 12: DOR - transparencia.gob.sv

(

OBSERVACíONES Y RECOMENDACIONES

OBSERVACIONES Y RECOMENDACIONES

UAI-012/15: No. 2

Emitida en el Informe UAI-012/ 15.

V.2.1 Inconsistencias en el Inventario ele ,v~I~ las Licencias ele Software. ~r.i¡G!,..~e revisó el control de licencias de (~l:C. ~. software que maneja la Sección ele

}1'fi formática del Puerto de Acajutla, y a fin ·! ¡aj constatar su veracidad, se comparó con ~ San ?'dl Inventario de Licencias de Software ·~., , ·~ resentado por la Gerencia de Sistemas de

~.. , ,· ·· nformación, observándose que los

(

ontroles de registro de infor111ación, no son homogéneos en cuanto al diseño de los fo rmularios, tampoco los nombres de so!lwarc y existe diferencia entre las cantidades de licencias en custodia, incl uso con los de la página Web del fabricante de software.

Recomeneli1ción No. 1

Se recomienda al Jefe de la Sección de Informática del Puerto de Aqjutla, coordinarse con la Gerencia de Siste111as de Información, a fin de garantizar que el control de inventario de licencias de software, sea homogéneo con el de la citada Gerencia, en cuanto a su formato o formu !ario de registro de in formación, nombre de cada aplicación o software y que sean congruentes en cuanto a la cantidad de todo aquel software que requiere de licenciamiento; y que además sea posible, verificar cuantas licencias ele software corresponden al Puerto de Acajutla, independientemente de su condición, es deci r si están o no instaladas en los equipos.

GRADO DE CUMPLIMIENTO SI EL ÚLTIMO SEGUIMIENTO EFECTUADO

AL31/01 /201 7. planificación que establezca fechas y compromisos para finiquitar la integración del Módulo de Contabi lidad, según lo manifestado por el lng. Ventura y Lic. Rosendo Figueroa, no obstante haberse reunido a111bos tanto en agosto como en septiembre de 2016, respecto a los Módulos que generan part idas contables. Por lo anterior, se espera que en la próxima verificación, la información de las partidas de diario que se generan en el Módulo de Almacén e Inventario, ya estén debidamente conciliadas en el Módulo de Contab il idad, por lo que se establece la Recomendación No. l, como en Proceso ele C umplimiento.

GRADO DE CUMPLIMIENTO SI EL ÚLTIMO SEGUIMIENTO EFECTUADO

AL 31/01/2017.

La verificación efectuada al seguimiento de la Recomendación No. l, dio como resultado lo s iguiente:

Recomendación No. l: Parcialmente cumplida: La Gerencia de Sistemas de Información, a fin ele mejorar el control de inventario ele licencias de software, hará homogéneo el proceso de control para todas las Empresas, en el Manual de Políticas y Proceelim icntos.

En relación a lo recomendado el Lic. Ortega manifestó: " En referencia al informe de audiloría interna UA l-012115, de fecha 29 de mayo de 201 5, específicamente a la recomendación Nº I "Inconsistencias en el !i?Venlario de las Licencias de Sojiware ", informamos que con el objetivo de avanzar con el cumplimiento de esta recomendación, a finales del ai'io pasado hemos realizado un inventario exhaustivo del Software inslalado en las computadoras y servidores del Puerto de llcajutla".

"En /al sen/ido, recientemenle hemos solicilado el apoyo a Gerencia de Sistemas, mediante memorándu111 INF-01 4-2017, para poder cumplir con la recomendación de auditoria interna".

Por su parte el lng. René Ventura manifestó: "• El Jefe de la Sección de Informática del

Puerto de !lcajutla ha efectuado las soliciludes para ho111ogenizar el inventario de software, entre la Gerencia de Sistemas de Información y la Sección de Informática de dicho puerto, proporcionando un listado de los soj/wares principales que se usan.

• La Gerencia de Sistemas de Información, ha considerado mejorar el control del

GRADO DE CUMPLIMIENTO AL 3 l /0 1/20 18.

GRADO DE CUMPLIMIENTO AL 31/01/2018.

Luego de verificar las acciones efectuadas para dar cumplimiento a la Recomendación No.1 , se obtuvo lo siguiente:

Recomendación No. 1: Cumplida. La Gerenci:1 de Sistemas de Información, presentó su control de Inventario de Licencias de Software, manifestando que es el que utilizarán en todas las empresas de CEPA, de forma homogénea.

El lng. René Ventura, Gerente Sistemas de Información, presentó su Control de Licencias de Software, manifestando lo siguiente: "Se presenta el cuadro actualizado de las licencias de sojiware adquirido y q11e se tiene registro de la asignación en el l'uerto de Acajutla". Agregó además, "se estará 11sando el cuadro en todas las empresas de CEPA, para el control de las licencias de soúware, en cumplimienlo a los apoyos solicitados por el Puer/o de 1/cai111/a para homologar la información de licencias. Adiciona/mente, le comento que todos los Jefes de Informática de las empresas de CEPA y esta gerencia, tuvimos la oportunidad de aportar sobre el con/rol más apropiado del licenciamiento de sofhl!are de uso institucional, ya q11e desarrollamos el proyeclo en forma co1?J11nta para la aclualización del manual de políticas y procedimientos de lecnologías de información de CEPA." .

Por su parte, el Lic. Samuel Lópcz Ortega, Jete de la Sección de Informática del Puerto de Acajutla, mani fcstó, "hemos recibido de la Gerencia de Sislemas el Inventario de Licencias de Sofiware asignado para el Puerto de Acajutla".

COMENTARIO DEL AUDITOR

La Sección de Informát ica de l Puerto de Acajutla, solicito el apoyo de la Gerencia de Sistemas de Información, mediante tres

10

Page 13: DOR - transparencia.gob.sv

(

(

OBSERVACIONES Y RECOMENDACIONES

GRADO DE CUMPLIM I ENTOS/ EL ÚLTIMO SEGUIMI ENTO EFECTUADO

AL 31 /01/2017. software institucional. pero lo hará a través de dornmentar la norma, política o procedimiento que lo defina en la actualización que se efectúa en el "Manual de Políticas y Procedimientos de Tecnologías de Información ". r:sto permitirá que sea establecido el mecanismo de control más adecuado para todas las empresas de CEPA y FtNAD!:SAL, e~perando concluirlo el segundo trimestre de 201 7.''

COMENTARIO DEL AUDITOR

Se tuvo a la vista el In ventario ele Licencias de Software y la solicitud a la Gerencia ele Sistemas ele Información (Memorando INF-014/2017 del 13/02/20 17), presentados por el Lic. Samuel Lópcz Ortega, por lo que se observó el isposición ele su parte para cumplir con lo recomendado. En cuanto al lng. René Ventura, no obstante haber recibido la información del Lic. Lópcz Ortega, adoptó el compromiso de mejorar el control del Inventario ele Licencias de Software, actual izando para tales efectos, el Manual ele Políticas y Procedimientos, con el fin de que el cambio se ponga en práctica en todas las Empresas de la Comisión y por lo cual, la Recomendación No. 1, se considera Parcialmente Cumplida y se realizará osterionnen te una nueva verificación.

GRADO DE CUMPLIMIENTO AL 31/01/2018.

memorandos (IN P-019/2018 del 28/02/2018. INl:-01 4/2017 del 20/07/2017 e INF-014/20 17 del 13/02/2017), para homologar el control del Inventario de Licencias de Sollware, s in embargo, el cambio no se había hecho efectivo; no obstante a lo anterior, durante el desarrollo del Examen Especial, se tuvo a la vista el control del Inventario de Licencias ele Software, que la Gerencia ele Sistemas de In formación manifestó, que utilizarán para garantizar el control del registro del software, de forma homogénea, por lo cual, la Recomendación No.1, queda cumplida.

Seguimiento al Informe Rcf. UAl-08/16.

OBSERVACIONES Y RECOMENDACIONES

UAl-08/16: No. 3

Emitida en el Informe UAl-08/16.

V.2.2 Equipos con Sistema Operativo, sin cobertura de seguridad por parte ele su fabricante.

Las Computadoras y los Servidores de Datos que se utilizan para el desarrollo ele las act ividades en el Puerto de Aeajutla, funcionan mediante un Sistema Operativo, el cual debe contar con el soporte técnico que brinda su fabricante, qu ien libera en su sitio web de manera automática unos archivos ele seguridad denominados "actual izaciones o parches", los cuales ayudan a corregi r vulnerabilidades y proteger a estos equipos ante los posibles ataques de virus y demás amenazas internas o externas a la Red Informática; sin embargo, ante la verificación efectuada se observó lo siguiente:

GRADO DE CUMPLIMI ENTOS/ SEGU IMIENTO AL31 /01/2017.

Al verificar el cumplimiento de la Recomendación No.2, se obtuvo lo siguiente:

Recomendación No. 2: Parcialmente Cumplida: Queda pendiente que de la adquisición de computadoras para el ailo 2017, se sustituyan los eq uipos que aún trabajan con el Sistema 0¡1erativo Windows XP, Vista y Winclows Server 2003.

El Lic. Samuel López Ortega manifestó: "según el registro actual de Software instalado, hemos disminuido de un 15% (aí10 anterio,) a 1111 7.89% (año actual) de compuradoras utilizando Siste111a Operativo XP, Vista y Server 2003".

"Con la compra del recurso informático planificado para el aíio 201 7, nos permitirá cumplir al 100% con esta recomendación. ya que se tiene planificado adquirir 23 computadoras y 1111 servidor de red que sustituirá,, los equipos que actualmente

GRADO DE CUMPLIMIENTOS/ SEGUIMIENTO AL 31/01/2017.

Ante la veri ficación efectuada, para constatar el cumplimiento de la Recomendación No.2. se obtuvo lo s iguiente:

Recomendación No. 2: Cu mplida. Se retiró del Activo Fijo, un Servidor con Sistemas Operativo Windows Server 2003, 4 computadoras co n Winclows XP, 3 con Winclows Vista, y se ha presupuestado adquirir 13 equipos, esperando retirar las últimas 2 que tienen Windows Vista.

El Jefe de la Sección de Informática, Lic. Samucl Ortega, manifestó al respecto: "A la.fecha, según el invenrario de sistemas operativos mencionados en la recomendación y que se encuentran en funcionamiento para computadoras y servidores para el Puerto de !lcajutla es el siguiente: Windows XP. ya no hay. Windows Vista 2, Con la adquisición del Recurso Informático 2018, dejaría111os de tener computadoras utilizando este sistema operativo y Windows Server 2003, debido a que es el servidor de la base de datos del Sistemas SA DFI. la sustitución de este equipo depende de realizar 1111 análisis técnico para poder miRrar a una

11

Page 14: DOR - transparencia.gob.sv

(

OBSERVACIONES Y RECOMENDACIONES

1. Doce computadoras de escritorio (Desktop) y una portátil (Laptop) con Sistema Operativo Microsoft Windows XP, cuyo respaldo técnico expiró el 8 de abril de 2014.

2. Siete Servidores con Sistema Operativo Microsoft Windows Server 2003, cinco de ellos son vi rtuales, es deci r, que no son computadoras fisicas sino que funcionan a través de un ambiente creado por programas y su respaldo técnico, expiró el 14 de julio de 20 15.

RECOMENDACIÓN No. 2

Se recomienda al Jefe de la Sección de Informática del Puerto de Acajutla, efectuar la renovación de los Equipos cuyo Sistema Operativo, ya no cuenta con el soporte técnico de seguridad de su fabricante y evitar rebasar a futuro, las fechas de caducidad del referido soporte técnico.

COMENTARIOS SEGÚN EL ,/ -<\~).'·v~¡

1, IN FORM E UAl-08/ 16 DEL 27/04/20 16.

' ~' V ,_ ~ ; ~ q~l Sr. Samuel López Ortega al respecto del .;j IT f j\ '1iflmeral 1), manifestó: "Durante los

'ij N 1~11110s 3 a110s, se ha venido renovando ..., (l/; gresivamente el equipo informático del

(

, •· '1· erto de ilcajutla, así: Para el aiio 2013, ,f: adquirieron I 4 computadoras, 32 para

e 2014, 28 paro el 2015 y para 20 I 6 están en roceso de gestión 17 computadoras ya inc 1idas en el presupuesto 20 I 6. En este aiio 0/6, es/aremos logrando renovar el equip informático del Puerto de Acajutla en 1111 85% aproximadamenle, el cual también ·ncluye la renovación de la úlrima versión de Windows. Consecuen/emenle con lo anJerior, este aifo dejaría111os de contar con Windows XP en el l'uerto de A cajulla ".

En relación al numeral 2), expresó: "referente a Windows para servidores, le informo que durante el aiio 2014 se adquirieron 1 O licencias de Windows Server 20 I 2 y, paulatinm11enle hemos iniciado con la incorporación de es/a versión de Windmvs para Servidores, adicionalmen/e, hemos solicitado para este año 2016 capacitación en Windows Server para el personal de informálica que eslá directamente relacionado con sopor/e a servidores y redes ".

Respecto a la observación, el lng. Mcndoza man ifestó que cada año se han estado realizando sustituciones de equipos coincidiendo en opinión con el Sr. López Ortega. Que por medio de las adquisiciones de recurso informático a efectuar durante el presente año, la recomendación quedará superada.

GRADO DE CUMPLIMIENTOS/ SEGUIMIENTO AL 31/0 1/2017.

tiene los sislemas operativos sin soporte del fabrican/e" .

COMENTARIO DEL AUDITOR

El Lic. Ortega presentó un reporte que resume la cantidad de software instalado en las computadoras del Puerto de /\cajutla y copia de un presupuesto asignado dentro del plan de compra anual, en cual se considera una reserva de fondos de $79,569.00 para la adquisición del recurso informático para el año 20 17; por lo cual, la Recomendación No.2 queda Parcialmente Cumplida y sujeta a una última verificación del compromiso adoptado.

GRADO DE CUMPLIMIENTOS/ SEGUIM IENTO AL 31/0 1/20 17.

versión más reciente de sistema operativo y garantizar que no afectará el fi111ciona111ien/o de SADFI en el Puerto de ilcajulla y la replicación de la base de datos en los demás sitios de Ct.PA, para tal efecto, se ges/ionará solicitar el apoyo para realizar es/a actividad conjun/amente con Gerencia de Sistemas. Sin embargo, como una medida de mitigación, durante el afio 201 7 hemos actualizado es/e servidor con los IÍ/Jimos parches de seguridad que emitió el fabricante Microsoft" .

También Agregó, "Como evidencia de que hemos avanzado en el cumplimienlo de es/a recomendación, hemos realizado el descargo de I Servidor con Sistemas Operativo Windows Server 2003, 4 computadoras con Sistema Opera/ivo Windows XP y 3 computadoras con Sistema Opera/ivo con Windows Vista".

COMENTARIO DEL AUDITOR

En relación a lo recomendado y al Sistema Operativo Windows Server 2003, se tuvo a la vista el Acta, con la cual se descargó del /\ctivo Fijo, el Servidor con código de inventario No. 11 00100507; y además, se constató la aplicación del parche ele actualización en el Servidor de la Base ele Datos SADF!, que ele momento le permitirá seguir operando, y en relación al Winclows XP, se descargaron cuatro computadoras del Inventario, hab iéndose observado sus Actas de descarga; así mismo, otras tres Actas de descarga de computadoras, que tenían instalado Windows Vista. Por otra parte, se observó que la Sección de Informática, ha presupuestado para el 2018, la adquisición de 13 computadoras de escritorio y 5 portáti les, con lo cual, serán retiradas las últimas dos computadoras con Windows Vista, por lo cual , la Recomendación No.2, queda cumplida.

12

Page 15: DOR - transparencia.gob.sv

IX.

(

X.

CONCLUSIÓN:

De acuerdo a los resu ltados obtenidos, mediante las pruebas y procedimientos efectuados en el Examen Especial, se concluye en cuanto a la funcionalidad del SADFI, que todos los Módulos implementados en el Puerto de Acajutla, están funcionando al 100%, excepto la fun ción que genera en cada uno de el los las partidas contables automáticamente, por lo cual , aún no se tiene funcionando a plenitud el Módu lo de Contabil idad, por tanto, la Jefatura de Contabil idad del Puerto de Acajutla y la Gerencia de Sistemas de Información, ya están desarrollando un proyecto de revisión de sus interfaces, el cual tiene por objetivo, corroborar la exactitud de sus elatos, lo cual según lo plani ficaclo, deberán fi nal izar en diciembre de 2018. En relación al cumplimiento de las normativas, es necesario garantizar, que ante los casos, en que una misma computadora sea util izada por más de un usuario, se conecten a la red con una cuenta genérica; además, los usuarios del Puerto de Acajutla, deben realizar de forma personal y automática, el cambio de clave o contraseña según la normativa asociada y por otra parte, se necesita contar con un lnstructivo de Respaldo de Datos, que describa los procesos para efectuar el respaldo de toda la información que se genera, según los recursos informáticos con que cuenta actualmente la empresa. Es importante, cubrir el déficit de Licencias de Software, que han sido instaladas además de las que fueron adqu iridas por CEPA, para evitar caer en ilegalidad en cuanto al uso de las ap licaciones. Respecto al segu imiento efectuado a tres recomendaciones en proceso, contenidas en el Informe Ref. UA l-02/20 17 del 04/04/2017, mediante la veri ficac ión efectuada, se constató que dos ya fueron cumplidas y una continua en proceso de cumplimiento.

PÁRRAFO ACLARATORIO:

El presente informe contiene los resul tados del Examen Especial a la funcionalidad del Sistema SADFI y cumplimiento de políticas y procedimientos de tecnologías de información en el Puerto de Acajutla, en el periodo del 01 de febrero de 201 7 al 31 de enero de 2018 y Seguimiento a las Recomendaciones Contenidas en el in fo rme Ref. UAl-02/201 7, del 04/04/201 7, y es únicamente para in formación y uso de Junta Directiva, Presidencia, Gerencia General, Gerencia Portuaria, Gerencia de Sistemas de Info rmación y la Jefatura de la Sección de Informática del Puerto de Acaj utla, y no se deberá usar para ningún otro propósito.

( DIOS UNION LIBERTAD

(

13